Ngân hàng mở: Xu hướng tất yết nhưng còn nhiều rào cản

Open API đang diễn ra cục bộ, chứ chưa có chuẩn chung

Tại Hội thảo “Ngân hàng mở/Open Banking 2023: Chuyển dịch mô hình kinh doanh từ đóng sang mở” do Tạp Chí kinh tế Việt Nam phối hợp cùng Ngân hàng Nhà nước Việt Nam và Công ty cổ phần Thanh toán Quốc gia Việt Nam (Napas) tổ chức, vấn đề chia sẻ dữ liệu khách hàng của các ngân hàng được các chuyên gia cùng đề cập với nhiều góc nhìn đa chiều.

Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng cho rằng, ngân hàng mở/open banking là giải pháp để nâng cao trải nghiệm khách hàng. Theo định nghĩa của Liên minh châu Âu, Open banking cho phép các nhà cung cấp dịch vụ thanh toán bên thứ ba được quyền truy cập thông tin dữ liệu ngân hàng của khách hàng thông qua các giao diện chương trình ứng dụng mở (Open Application Programming Interface - Open API) được bảo mật.

API mở cung cấp quyền truy cập, hỗ trợ giao diện giữa nhà cung cấp dữ liệu và bên thứ ba vào các mối quan hệ kinh doanh. “Chẳng hạn, một ứng dụng gọi xe có thể truy cập vào dữ liệu của khách hàng ngân hàng để thực hiện thanh toán cho cuốc xe”, ông Dũng lấy ví dụ.

Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng: Phát triển Open API đang diễn ra một cách cục bộ, ở từng ngân hàng chứ chưa có chuẩn chung

Phó Thống đốc cho biết, Quyết định 810 của Ngân hàng Nhà nước về chuyển đổi số khẳng định, muc tiêu xuyên suốt là lấy trải nghiệm khách hàng làm trọng tâm, trong đó, thước đo duy nhất là dịch vụ khách hàng.

Dẫn ví dụ từ chính thực tế, ông Dũng cho biết: “Tôi sống ở khu chung cư. Ngày hôm qua, tôi nhận được một hóa đơn dịch vụ. Với hóa đơn đấy, tôi có hai lựa chọn. Thứ nhất, tôi vào app của khu căn hộ để trả tiền. Thứ hai, người ta thông báo qua email cho tôi là chuyển tiền vào số tài khoản với nội dung ABC… Việc này nói lên câu chuyện, nếu chúng ta làm mà không có Open API, không có tích hợp thì mỗi người một nẻo, mỗi người một khúc. Hiện nay, 1 người dùng có thể phải cài rất nhiều ứng dụng khác nhau của ngân hàng và bên cung cấp dịch vụ. Còn nếu chúng ta có thiết kế Open API và Open Banking thì sẽ kết nối liên thông, giao dịch của khách hàng sẽ được thực hiện liền mạch. Khoản thanh toán của tôi sẽ được hiển thị trên 1 nền tảng, sau khi tôi thanh toán thì sẽ có thông báo là không còn hoá đơn nào nữa”.

Theo Phó Thống đốc, để làm được mục tiêu kết nối dữ liệu cần giải quyết được cả khía cạnh pháp lý và kỹ thuật. Trong đó, khía cạnh kỹ thuật đã tiến nhanh và một số ngân hàng như VietinBank, BIDV,... đã triển khai hệ thống Open API. Tuy nhiên, hiện nay việc phát triển Open API đang diễn ra một cách cục bộ, ở từng ngân hàng chứ chưa có chuẩn chung.

Đề cập về thực trạng ứng dụng ngân hàng mở tại Việt Nam, ông Phạm Anh Tuấn, Vụ Trưởng Vụ Thanh toán, Ngân hàng Nhà nước cho biết, 72,3% tổ chức tín dụng đã và đang dự tính triển khai các API, trong đó 47,6% đã xây dựng các API để cho các bên thứ ba kết nối (external API). Khoảng 65% các tổ chức tín dụng sẵn sàng triển khai Open API, trong đó trên 30% tổ chức tín dụng có mức độ sẵn sàng cao đối với Open API. Nhiều tổ chức tín dụng đã xây dựng các API cho phép các bên thứ ba kết nối, triển khai API Portal để các đối tác có thể kết nối vào hệ sinh thái ngân hàng. Bên cạnh đó, nhiều nhà cung cấp giải pháp ứng dụng open API như: Open API Connect của IBM, WS02 open source, APIGee của Google, Open API Connect của IBM.

Ông Phạm Anh Tuấn, Vụ Trưởng Vụ Thanh toán, Ngân hàng Nhà nước: 72,3% tổ chức tín dụng đã và đang dự tính triển khai các API

Thách thức về đảm bảo an toàn thông tin

Ông Phạm Anh Tuấn cho biết, liên quan đến việc quản trị dữ liệu còn tồn tại câu chuyện phân quyền truy cập, xử lý dữ liệu và kiểm soát việc tiếp cận, xử lý dữ liệu đúng thẩm quyền, đúng mục đích. Các thỏa thuận cho phép ngân hàng và bên thứ ba xử lý dữ liệu với khách hàng trong quá trình sử dụng.

Đối với an toàn bảo mật, theo ông Tuấn đó là sự tương thích hạ tầng công nghệ, cơ chế bảo mật an toàn thông tin giữa các ngân hàng với bên thứ ba; hay như nguy cơ lộ, lọt dữ liệu, thông tin khách hàng. Xu hướng gia tăng tội phạm công nghệ tấn công hệ thống thông tin hoặc nền tảng dùng chung... “Một số trường hợp cần chỉnh sửa, nâng cấp hệ thống corebanking để cho phép kết nối qua Open API. Chưa có các tiêu chuẩn chung về kỹ thuật, dữ liệu”, ông Tuấn nói.

Theo Vụ trưởng Vụ Thanh toán, hiện đã qua thời ngân hàng xây dựng ứng dụng của riêng mình, cung cấp dịch vụ trong phạm vi riêng ngân hàng. Giờ đây khách hàng sẽ không chấp nhận sử dụng app chỉ cung cấp dịch vụ riêng của ngân hàng đó. Nhu cầu khách hàng ngày càng lớn, đòi hỏi có sự kết nối hay phát triển toàn bộ hệ sinh thái.

Ngoài ra, ông Tuấn cho rằng không phải lúc nào ngân hàng cũng làm trung tâm và cần tiến tới việc nhúng ứng dụng ngân hàng trong những app có đông đảo người dùng. Theo ông Tuấn, ngân hàng mở “là sự cộng tác, kết nối, liên thông liền mạch giữa các bên, mà không phải lúc nào ngân hàng cũng là chủ thể”.

Hội thảo “Ngân hàng mở/Open Banking 2023: Chuyển dịch mô hình kinh doanh từ đóng sang mở”

Liên quan đến câu chuyện hành lang pháp lý, ông Trần Công Quỳnh Lân, Phó Tổng Giám đốc VietinBank cho biết, trong quá khứ, ngân hàng chỉ thuần túy cung cấp dịch vụ qua các kênh của mình. "Ngân hàng xem dữ liệu khách hàng là của quý, giữ khư khư, không muốn chia sẻ cho bên khác", ông nói.

Tuy nhiên, nhu cầu thực tiễn của khách hàng đa dạng hơn và nhiều nhu cầu không xuất phát từ ngân hàng như gọi xe, đặt đồ ăn,... "Nếu ngân hàng không lồng dịch vụ vào cuộc sống hàng ngày khách hàng thì sẽ bị gạt ra ngoài", ông Lân nói.

Ứng dụng số cũng cần đến ngân hàng. Ngân hàng thấy kênh này còn tiềm năng hơn kênh truyền thống. Bản thân VietinBank có hàng trăm chi nhánh, hàng nghìn phòng giao dịch, hàng triệu khách hàng, nhưng Grab hay Shopee còn có nhiều hơn thế.

Nhận định về vấn đề an toàn thông tin với mô hình ngân hàng mở, ông Trần Quang Hưng, Phó Cục trưởng Cục An toàn Thông tin, Bộ Thông tin và Truyền thông, cho hay: “Bảo đảm thông tin rất phức tạp trong giai đoạn này”. Theo ông Hưng, cướp ngân hàng, cướp nhà băng thường được thấy nhiều trên phim ảnh, nhưng giờ đây đã xuất hiện những vụ tấn công mạng với quy mô lớn.

Thống kê của Bộ Thông tin và Truyền Thông cho thấy, trong 11 tháng đầu năm, có 15.900 phản ánh về lừa đảo qua mạng, trong đó hơn 91% đến từ lĩnh vực tài chính, ngân hàng. Có ba nhóm lừa đảo chính là giả mạo thương hiệu, chiếm đoạt tài sản và các hình thức kết hợp khác với 24 hình thức lừa đảo khác nhau.

Ông Hưng cho biết: "Giờ đây, không chỉ cần chiến đấu với hacker con người còn có hacker từ AI. Cuộc chiến chuyển từ giữa người và người thành cuộc chiến giữa máy và máy". Ngoài ra, khi trong quá khứ, khi ngân hàng đóng thường chỉ có một vài cổng tấn công nhưng giờ đây, khi các ngân hàng được kết nối với nhau, số cổng, cơ hội để tấn công đã tăng lên nhiều lần.

Ông Trần Quang Hưng, Phó Cục trưởng Cục An toàn Thông tin, Bộ Thông tin và Truyền thông: Bảo đảm thông tin rất phức tạp trong giai đoạn này

Vấn đề bảo mật thông tin khách hàng và trách nhiệm của các bên liên quan cũng được các chuyên gia và đại diện ngân hàng đưa ra để thảo luận. Phó Tổng Giám đốc VietinBank cho rằng để triển khai ngân hàng mở cần có một số vấn đề cần quan tâm. Đầu tiên là trách nhiệm khi sử dụng thuộc về ai. Chẳng hạn, khi một công ty cờ bạc, cá độ sử dụng dữ liệu từ VietinBank, câu hỏi đặt ra là ai sẽ là người chịu trách nhiệm. Theo ông đây là một vấn đề nhạy cảm và chưa có khuôn khổ pháp lý rõ ràng.

Ngoài ra, ngân hàng mở không hẳn mở cho tất cả mọi người. Để lĩnh vực này phát triển hơn nữa, cần có khuôn khổ pháp lý rõ ràng cho người sử dụng dữ liệu và người cung cấp dữ liệu.

Hiện nay, theo Nghị định 13 về bảo mật dữ liệu cá nhân buộc ngân hàng phải có sự đồng ý của khách hàng khi cung cấp dữ liệu cho bên thứ ba. Do đó, ngân hàng cần phải lưu ý rằng chủ sở hữu thực sự của dữ liệu là khách hàng.

Lãnh đạo Vụ Thanh toán cho biết, cơ quan quản lý sẽ tiếp tục hoàn thiện cơ chế chính sách, khung khổ pháp lý. Cụ thể, rà soát, đề xuất nội dung sửa đổi, bổ sung tại Dự thảo Luật Các tổ chức tín dụng (sửa đổi) các nội dung về: giao dịch điện tử trong hoạt động ngân hàng; bảo mật thông tin, dữ liệu khách hàng; cơ chế thử nghiệm có kiểm soát việc ứng dụng công nghệ, cung ứng sản phẩm dịch vụ và triển khai mô hình kinh doanh mới... Đồng thời, trình Chính phủ Dự thảo Nghị định về Thanh toán không dùng tiền mặt, Cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính trong lĩnh vực ngân hàng (sandbox)…

“Nghiên cứu, xây dựng thông tư về Open API và rà soát sửa đổi, ban hành các quy định về hoạt động thanh toán; giao dịch điện tử và an ninh an toàn bảo mật, biện pháp xác thực giao dịch; tiêu chuẩn kỹ thuật, tiêu chuẩn dữ liệu…”, ông Tuấn nói.

Cũng theo ông Tuấn, ngành ngân hàng tiếp tục nâng cấp phát triển, tăng cường tính an toàn bảo mật và khả năng tích hợp kết nối của các hạ tầng công nghệ của toàn ngành như: hệ thống thanh toán điện tử liên ngân hàng hàng, chuyển mạch tài chính và bù trừ điện tử; hệ thống thông tin tín dụng CIC... Khuyến khích các tổ chức tín dụng, trung gian thanh toán nâng cấp hệ thống công nghệ thông tin và xây dựng, phát triển API mở và kết nối với các đối tác để cung ứng sản phẩm dịch vụ an toàn, tiện ích. Triển khai hiệu quả và đồng bộ hệ thống phòng, chống tấn công mạng.

“Đẩy mạnh truyền thông để hướng dẫn khách hàng hiểu rõ về quy trình thực hiện, bảo mật thông tin và nhận biết để phòng, tránh những rủi ro lừa đảo, gian lận. Bên cạnh đó, tăng cường cơ chế phối hợp, trao đổi thông tin giữa các bên để kịp thời hỗ trợ xử lý những vướng mắc, sự cố phát sinh trong quá trình sử dụng dịch vụ”, ông Tuấn cho hay.